خدمات شبکه و پشتیبانی شبکه

شناسایی بدافزار حمله کننده به تجهیزات اینترنت اشیاء

تیر ۱۲, ۱۳۹۷/در AFTA, badware, Internet of Things, IOT, امنیت, فناوری اطلاعات /توسط ادمین

بات کاوشگر ارز دیجیتالی که برخی از دستگاههای اینترنت اشیا را هدف قرار می‌داد، کشف شد.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، بدافزارهای کاوشگر از منابع سیستم کاربران ، برای کاوش ارز دیجیتالی بدون اجازه کاربر استفاده می کنند و به کاوش ارزهایی از قبیل Monero و Ethereum می پردازند.

این حمله کاوشگر ارز دیجیتالی در تمام دستگاه های متصل و سرورهای تحت سرویس SSH (فراهم کننده اتصال امن برای دستگاه های IoT) رخ می دهد.

این بات به طور عمده به دنبال دستگاه هایی می گردد که روی آنها پروتکل RDP (Remote Desktop Protocol) فعال باشد، سپس از آنها سوء استفاده کرده و اسکریپتی را اجرا می کند تا بدافزار کاوشگر دانلود و نصب شود.

بات نت، فایل هایی را از آدرس hxxps://www[.]yiluzhuanqian[.]com/soft/Linux/yilu_۲_[.]tgz دانلود می‌کند و آنها را در پوشه temp قرار می دهد.

سایتی که اسکریپت از آن دانلود می شود یک سایت مخرب در حوزه مالی است که مهاجم به کمک تکنیک های پیشرفته ای در صورت مسدود شدن لینک ها، دامنه آن را تغییر می دهد تا عملیات مخرب ادامه یابد.

پس از دانلود اسکریپت و اجرای آن، ابتدا اتصال سیستم به اینترنت و سایت Baindu.com و سپس سیستم عامل آن بررسی می‌شود. اسکریپت پس از راه اندازی اولیه، کاوشگر را دانلود می کند و از مکانیزمی برای پایداری در سیستم استفاده می کند تا با راه اندازی سیستم بتواند به فعالیت خود ادامه دهد.

کارشناسان مرکز افتا توصیه می کنند برای در امان ماندن از این بات کاوشگر ارز دیجیتالی سیستم ها را همیشه و به صورت مناسب بروزرسانی ، سرویس های غیر ضروری سیستم ها را غیرفعال و دسترسی به سرویس های فعال مانند RDP را محدود و همیشه مانیتور کنید.

بر اساس این توصیه ها، کاربران نباید نسبت به کند شدن یا هنگ کردن سیستم رایانه ای خود بی تفاوت بوده و دنبال علت آن باشند، ممکن است علت آن وجود کاوشگر ارز دیجیتالی در سیستم باشد.

عاقبت نافرجام سایت‌های آلوده به بدافزار اخاذی از مالیات‌دهندگان

تیر ۱۱, ۱۳۹۷/در badware, maliyat, security, امنیت, فناوری اطلاعات /توسط ادمین

سازمان گمرک و دارایی انگلستان با انتشار بیانیه‌ای اعلام کرد بیش از ۲۰ هزار سایت تقلبی و آلوده به بدافزار را از دسترس مالیات‌دهندگان انگلیسی خارج کرده است.

به گزارش زد دی نت، آمار حملات سایبری و هک در سال ۲۰۱۷ به اوج خود رسیده است و برآوردها نیز حاکی است که رکورد حملات سایبری در سال آینده میلادی ۲۰۱۸ شکسته خواهد شد.

بدافزارها، باج‌افزارها و حملات DDOS از جمله تهدیدهای امنیتی بودند که از سال ۲۰۱۶ کاربران فضای مجازی را در معرض خطر حملات سایبری قرار داده‌اند و موجب لو رفتن اطلاعات شخصی و محرمانه آن‌ها شده است.

از آنجا که وب سایت‌های مخرب و آلوده به بدافزار مدت‌هاست گریبانگیر سازمان‌های دولتی و شرکت‌های خصوصی بسیاری در سراسر جهان شده است، سازمان دارایی و گمرک انگلستان (HMRC) بیانیه‌ای منتشر و در آن عنوان کرده است که در طول ۱۲ ماه گذشته ( یک سال اخیر )، ۲۰ هزار و ۷۵۰ وب‌سایت آلوده به بدافزار را که کاربران را به پرداخت مالیات و پول‌های هنگفتی ترغیب می کرده‌اند، مسدود کرده است.

به گفته این سازمان، سایت‌های تقلبی و آلوده مذکور سعی می‌کردند آن دسته از کاربران و صاحبان مشاغلی که باید به دولت انگلستان مالیات پرداخت می‌کردند را فریب دهند و به عنوان پرداخت مالیات به صورت آنلاین، از آن‌ها مبالغ هنگفتی را اخاذی و دریافت کنند.

این سازمان اعلام کرده است که تلاش‌های بسیاری درباره حفظ مال و اموال شهروندان انگلیسی انجام داده و با مجرمان سایبری و متخلفان مالیاتی برخورد کرده است.

طبق این آمار، تلاش و مجاهدت‌های بی‌وقفه این سازمان موجب شده است ۲.۴ میلیون پوند مردم و شهروندان حفظ شده و به جیب مجرمان و متخلفان سایبری واریز نشود.

این بیانیه همچنین از مردم انگلستان درخواست کرده درصورت مشاهده هرگونه پیام، ای‌میل فیشینگ و وب‌سایت‌های مشکوک، آن را به آدرس پست الکترونیکی اختصاصی این سازمان فرستاده و درصورت لزوم، با شماره‌های ذکر شده در این بیانیه تماس بگیرند.

همانطور که در اخبار گذشته اشاره شد، سالانه شرکت‌ها و سازمان‌های دولتی و خصوصی بزرگی در سراسر جهان متحمل خسارات و آسیب‌های جبران ناپذیری می‌شوند که از جمله مهم‌ترین آن‌ها می‌توان به حمله سایبری به شرکت مالی اکوئیفاکس در آمریکا، سازمان بهداشت و سلامت در انگلستان، وزارت‌های دفاع و امور خارجه بسیاری از کشورها، شرکت حسابرسی دیلویت (Deloitte) در آمریکا اشاره کرد.

بنابراین می‌توان گفت خطر حملات سایبری در کمین تمامی افراد، کاربران و شرکت‌های کوچک و بزرگ در جهان است و دیگر نمی‌توان ادعا کرد که کسی از گزند و خطرات حملات سایبری در امان است.

واژه فیشینگ یا Phishing که مختصرا از عبارتPassword Harvesting Fishing به معنای "بدست آوردن رمز عبور از طریق طعمه" به دست آمده و ساخته شده است، یکی از حملات سایبری شناخته شده مبتنی بر مهندسی اجتماعی است که با فریب دادن کاربران موردنظر اطلاعات محرمانه و خصوصی آن‌ها از جمله رمز عبور، اطلاعات حساب بانکی، اطلاعات شخصی و محتوای به اشتراک گذاشته شده آن‌ها در شبکه‌های اجتماعی را بدست می‌آورند.

برخلاف سایر حملات سایبری که توسط هکرها و مجرمان سایبری و یا بهره‌گیری از آسیب‌پذیری‌های موجود در نرم‌افزار یا سخت‌افزار دستگاه‌های الکترونیکی مربوطه، حملات فیشینگ توسط خود کاربر قربانی صورت می‌پذیرد، چراکه هکرها، کاربران را فریب داده تا با دست خودشان اطلاعات موردنظر هکرها را تقدیم آن‌ها کنند.

حملات فیشینگ یکی از متداول‌ترین و آسان‌ترین روش‌های سرقت اطلاعات شخصی، مالی و حریم خصوصی کاربران در فضای مجازی است.

کشف بدافزاری خطرناکتر از VPN Filter

خرداد ۲۳, ۱۳۹۷/در AFTA, badware, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت راهبری امنیت فضای تولید وتبادل اطلاعات از کشف یک بدافزار مخرب جدید خبر داده که بیش از ۴۰ هزار دستگاه متصل به اینترنت را مورد حمله قرار داده است.

پس از کشف بدافزار بزرگ و خطرناک VPNFilter، پژوهشگران امنیتی بات‌نت غول‌پیکر و خطرناکتر دیگری را شناسایی کرده‌اند که بیش از ۴۰ هزار سرور، مودم و دستگاه‌های متصل به اینترنت را که متعلق به تعداد زیادی از سازمان‌ها در سراسر جهان است، تحت تاثیر قرار داده است.

مرکز مدیریت راهبری امنیت فضای تولید و تبادل اطلاعات ریاست جمهور (افتا) اعلام کرد: این بدافزار که Prowli نام گرفته است، در حال پخش و تزریق بدافزار به سرورها و وب‌سایت‌های مختلف در سراسر جهان است.

تکنیک‌های مورد استفاده این بات‌نت شامل اکسپلویت‌ها، حملات brute-force و بهره‌برداری از پیکربندی‌های ضعیف است.

بدافزار Prowli تاکنون بیش از ۴۰ هزار دستگاه و بیش از ۹۰۰۰ کسب و کار در حوزه‌های مختلف، از جمله مالی، آموزش و سازمان‌های دولتی را مورد حمله قرار داده است.

دستگاه‌ها و سرویس‌هایی که توسط این بدافزار آسیب دیده‌اند:

• سرورهای Drupal و Wordpress

• سرورهای جوملا

• سرورهای پشتیبان‌گیری که نرم‌افزار HP Data Protector را اجرا می‌کنند

• مودم‌های DSL

• سرورهایی که پورت SSH آنها باز است

• PhpMyAdmin

• سرورهایی که پورت SMB آنها در در دسترس است

• دستگاه‌های اینترنت اشیا یا IoT آسیب‌پذیر

تمامی موارد فوق با استفاده از یک آسیب‌پذیری شناخته شده یا حدس نام‌کاربری و رمزعبور آلوده شده‌اند.

مهاجمان همچنین از این بدافزار برای نصب کاوشگر ارز دیجیتالی Monero نیز استفاده می‌کنند.

از آنجا که مهاجمان از آسیب‌پذیری‌های شناخته شده مختلف و حدس زدن اطلاعات ورود برای نفوذ به دستگاه‌ها استفاده می‌کنند، کاربران باید مطمئن شوند که سیستم های آنها به‌روز هستند و همیشه از گذرواژه‌های قوی برای دستگاه‌های خود استفاده کنند.

کد خبر 4319428

معصومه بخشی پور

سه روشی که باج‌افزارها را کامل‌تر می‌کند

خرداد ۱۸, ۱۳۹۷/در badware, virus, امنیت, امینت, تلفن همراه, فناوری اطلاعات /توسط ادمین

هیچ تردیدی وجود ندارد که مجرمان سایبری مشغول آماده‌سازی باج‌افزارهای بیشتر جهت حمله به بازماندگان ۲۰۱۸ هستند و اینکه کد باج‌افزارها جهت سرقت اطلاعات شما و بردن پول شما بهینه‌سازی خواهند شد.

به گزارش ایسنا، سازندگان باج‌افزار، کاربران خانگی، کسب‌وکارها و نهادهای دولتی را مورد هجوم قرار می‌دهند و دلیل این هجوم می‌تواند عدم پشتیبان‌گیری داده‌ها، کمبود دانش امنیتی آنلاین، به‌روز نکردن نرم‌افزارها در کابران خانگی، آسیب‌پذیری سیستم‌های کامپیوتری در کسب‌وکارها و مدیریت پایگاه‌های اطلاعاتی عظیم شخصی و محرمانه توسط نهادهای دولتی باشد.

باج‌افزار یک نوع نرم‌افزار مخرب (بدافزار) است که تمام داده‌ها را بر روی رایانه یا دستگاه تلفن همراه رمزگذاری کرده و دسترسی مالک آنها را به این داده‌ها مسدود می‌کند. هنگامی که این آلودگی اتفاق می‌افتد، قربانی پیامی دریافت می‌کند که در آن دستورالعمل‌های چگونگی پرداخت باج (معمولا در بیت‌کوین‌ها) ارائه شده است. فرآیند اخاذی اغلب شامل محدودیت‌ زمانی برای پرداخت می‌شود. پرداخت جریمه هم باید کلید رمزگشایی را به قربانی بدهد اما هیچ تضمینی وجود ندارد که این اتفاق بیفتد.

اینکه چرا سازندگان و توزیع‌کنندگان باج‌افزار، کاربران خانگی را هدف قرار می‌دهند، دلایل متعددی دارد. زیرا کاربران خانگی پشتیبان‌گیری داده‌ها را ندارند، آموزش امنیت سایبری ندیده‌اند و ممکن است روی هر چیزی کلیک کنند. کمبود دانش امنیتی آنلاین باعث می‌شود تا مهاجمان سایبری بتوانند به راحتی دسترسی به اطلاعات‌شان داشته باشند.

کاربران خانگی حتی امنیت پایه سایبری را ندارند و نرم‌افزار خود را به روز نگه نمی‌دارند، آنها موفق به سرمایه‌گذاری در راه‌حل‌های امنیت سایبری نشده‌اند و به شانس اعتقاد دارند تا آنها را امن نگه دارد. اکثر کاربران خانگی هنوز به طور انحصاری به آنتی‌ویروس اعتماد می‌کنند تا از همه تهدیدات محفاظت شوند که اغلب در تشخیص و توقف باج‌افزار ناکارآمد هستند و بخش زیادی از کاربران اینترنتی، می‌توانند قربانیان بالقوه شوند.

اما سازندگان و توزیع‌کنندگان باج‌افزار، کسب‌وکارها را نیز به دلایل متعدد هدف قرار می‌دهند. زیرا در کسب‌وکارها پول زیادی وجود دارد، مهاجمان می‌دانند که یک آلودگی موفق می‌تواند باعث اختلال در کسب‌وکار بزرگ شود و شانس آنها جهت دریافت پول افزایش می‌یابد. سیستم‌های کامپیوتری در شرکت‌ها اغلب پیچیده و مستعد آسیب‌پذیری هستند که می‌توانند از طریق وسایل فنی مورد استفاده قرار گیرند.

در این گزارش سه کاری که شما می‌توانید از مجرمان سایبری که این باج‌افزارها را ایجاد می‌کنند، انتظار داشته باشید ذکر می‌شوند:

هوش مصنوعی (AI) بدافزارها را موثرتر می‌کند

ایمیل‌های جعلی همچنان روش برجسته مورد استفاده برای توزیع باج‌افزارها باقی می‌مانند. اما تکنولوژی هوش مصنوعی (AI) به طور محتمل به این ترکیب اضافه می‌گردد تا تلاش جهت ساختن ایمیل‌های جعلی بر قربانی‌های در دام افتاده، موثرتر گردند.

مجرمان سایبری می‌توانند با استفاده از هوش مصنوعی به طور متناوب کلمات به‌کار برده شده در ایمیل‌های جعلی را تغییر دهند تا موثرترین ترکیب کلمه را بیابند و این پیام‌های بیشتری را برای دور زدن فیلترهای پیام‌های ناخواسته فراهم می‌کنند. پیام‌ها نیز براساس نرخ کلیک‌ها و سطوح تعامل سطح پالایش قرار خواهند گرفت.

هوش مصنوعی همچنین مجرمان سایبری را قادر به پالایش سایر عناصر توزیع باج‌افزارها خواهند کرد. اطلاعات مربوط به کسی که احتمالاً باج بیشتری را خواهد پرداخت، انواع سیستم، نواحی و سایر اطلاعاتی که می‌توانند در الگوریتم هوش مصنوعی جهت تعیین اهداف سودمندتر و روش‌های توزیع فشرده گردد.

هکرهای مخرب به سرقت هرچیزی ادامه خواهند داد

از ویندوزهای مایکروسافت ساخت دولت با استفاده از EternalBlue در حمله بدافزاری WannaCry عمده ۲۰۱۷ استفاده شد که هزاران سیستم رایانه‌ای در سراسر دنیا را به خطر انداختند. ویندوز ساخته شده توسط دولت که از EternalRomance بهره می‌برد در حملات Notpetya و BadRabbitattacks مورد استفاده قرار گرفت.

در سال ۲۰۱۸ انتظار می‌رود که هکرها سرقت‌های بیشتری را نسبت به حالا به انجام برسانند زیرا ابزارهای بهره‌برداری بدون سند نسل بعدی باج‌افزارها را تغذیه خواهند کرد.

رمزگذاری بر پایه GPU در حال افزایش

ظهور باج‌افزارهایی مانند Troldesh و Globeimposter نشان می‌دهد که پدیدآورندگان باج‌افزار شروع به استفاده از رمزگزاری بر پایه واحد پردازش گرافیک کرده‌اند و بر اساس اطلاعات سایت پلیس فتا، انتظار می‌رود که این روش در سال ۲۰۱۸ نیز ادامه یابد؛ این روش به طور قابل توجهی سرعت رمزگذاری اطلاعات در یک ماشین را افزایش می‌دهد که به قربانیان زمان کمتری جهت نشان دادن عکس‌العمل داده و همین طور زمان کمتری را برای کاهش تهدید به نرم افزار امنیتی می‌دهد.

حملات باج‌افزاری در هر دو حوزه پیچیدگی و میزان در سال ۲۰۱۸ افزایش خواهند یافت. به همین دلیل سرمایه‌گذاری در کنترل‌کننده‌های حفاظتی در مقابل باج‌افزارها و پشتیبان‌ها و راه‌حل‌های بازیابی اطلاعات حیاتی است.

کاربران ناآگاه هدف سرقت اطلاعات بانکی

خرداد ۹, ۱۳۹۷/در badafzar, badware, banking, security, امنیت, فناوری اطلاعات /توسط ادمین

براساس یافته‌های محققان یک برنامه بدافزار فروشگاهی قدیمی به نام پریلکس اکنون به ابزار تکامل یافته‌ای تبدیل شده که برای کلاهبرداران سایبری، شرایط سرقت پین‌کارت و داده‌های تراشه به‌منظور تولید کارت‌های پلاستیکی جهت اقدامات کلاهبردارانه را ایجاد می‌کند.

بدافزار دیگری برای دستگاه‌های ATM شناسایی شده که کاربران ناآگاه را هدف قرار می‌دهد؛ بدافزاری که با قابلیت‌های شبیه‌سازی همراه است. قبلاً پریلکس به‌منظور سرقت پول نقد و اطلاعات کارت‌های پرداختی از دستگاه‌های ATM و خرده‌فروشان مورد استفاده قرار می‌گرفت. محققان دریافته‌اند که این بدافزار از سال ۲۰۱۴ به‌صورت فعال باقی مانده و کارکرد اصلی آن اصلاح و تغییر بدافزار با ویژگی‌های خاص آلوده‌سازی دستگاه‌های pos و کسب داده‌های کارت است.

به این معنی که اصلاح و تغییر نرم‌افزار POS محتمل بوده و اشخاص ثالث می‌توانند داده‌های تغییریافته را به واسطه ترمینال بانکی به‌دست آورند. به همین ترتیب زمانی‌که یک مشتری با کارت خود مبلغی را در دستگاه آلوده POS پرداخت می‌کند، داده‌ها به‌طور خودکار به مجرمان سایبری انتقال می‌یابد.

اما اکنون گروه پریلکس در کشور برزیل، زیرساختی را توسعه داده که کارت‌هایی مشابه کارت‌های اصلی ایجاد می‌کند. این کار برای شرکت کاملاً ساده است، زیرا در برزیل زمینه‌سازی نادرستی از استاندارسازی (EMV) وجود دارد و از این رو تمامی داده‌هایی که به وسیله این کارت‌ها، با روند تأیید ارسال می‌شود، به صورت تأییدنشده باقی می‌ماند. همچنین این کارت‌های شبیه‌سازی‌شده، تقریباً با تمامی سیستم‌های POS در کشور برزیل سازگار است.

محققان دریافتند که زیرساخت پریلکس شامل یک جاوا اپلت (Java applet) و اپلیکیشن کلاینت (client application) با عنوان Daphne است که داده‌ها را برروی کارت‌های هوشمند نوشته و مقادیری که باید استخراج شود را ارزیابی می‌کند. به‌علاوه پریلکس شامل دیتابیس‌هایی با شماره‌ کارت‌هایی است و این اطلاعات نیز به‌صورت پکیج در برزیل به فروش می‌رسد.

معمولاً زمانی‌که تراشه وارد دستگاه POS می‌شود، چهار مرحله برای کارت‌های تراشه و پین به‌مظنور انجام مقدمات، تأیید اعتبار داده‌ها، تأیید اطلاعات دارنده کارت و تراکنش لازم است. در بین این مراحل، فقط مرحله اول و آخر ضروری است در حالی‌که دو مورد دیگر از جمله اسکیپ را می‌توان از قلم انداخت.

اما در زمان استفاده از کارت‌های شبیه‌سازی‌شده که با اپلیکیشن مختص جاوا ایجاد شدند، دستگاه POS می‌تواند سیگنال‌هایی را دریافت کند که به روند تأیید اعتبار داده‌ها نیازی نداشته و دستگاه به دنبال کلیدهای رمزنگاری کارت نیست.

گرچه استاندارد EMV با بررسی پین اپلیکیشن کلاهبرداران سایبری، گزینه‌ای برای تسهیل روند اعتبارسنجی کارت‌ها دارد که می‌تواند هر پین‌کد وارد شده را اعتبارسنجی کند، بر اساس اطلاعات سایت پلیس فتا، تیاگو مارکز، تحلیل‌گر امنیتی عنوان کرده که ما در اینجا با یک بدافزار کاملاً جدید مواجه هستیم که به مهاجمین هر چیز مورد نیاز را از واسط کاربری گرافیکی به ماژول‌های طراحی‌شده مناسب ارائه می‌دهد و می‌تواند برای ایجاد ساختارهای کارت‌های مختلف اعتباری به‌کار گرفته شود.

سانیاگو پونتیرولی، دیگر محقق گفته است: پریلکس یک بدافزار کامل است که می‌تواند پشتیبانی کامل به مجرمین در طی عملیات‌شان ارائه دهد و همه این موارد با واسط کاربری گرافیکی و قالب‌های ایجاد ساختارهای مختلف کارت‌های اعتباری صورت می‌گیرد و می‌تواند یک عملیات کیفری باشد.

نسخه اصلاح‌شده پریلکس می‌تواند آرشیو دستگاه POS را بازنویسی و آلوده سازد تا نوار مغناطیسی Track۲ را که در کارت‌های پرداختی نصب شده، گردآوری و فیلتر کند. تقاضای چنین اطلاعاتی در بازار سیاه بسیار بالاست و کاربران پریلکس، داده‌ها را به مشتریان زیرزمینی که از Daphne استفاده می‌کنند، می‌فروشند.

این کارت جدید که به رایتر کارت (card writer) هوشمند متصل است، اطلاعات جدید را به واسطه اسکریپت‌های GPShell ارسال می‌کند و مسئول تنظیم ساختار کارت و ایجاد کارت طلایی است که بر روی هر دستگاه POS عمل می‌کند.

در پایان محققان عنوان کردند از آنجا که مجرمین سایبری نمی‌توانند تمامی اطلاعات استاندارد فنی تراشه و پین را دستکاری کنند، از این رو نیازمند اصلاح و تغییر اپلیکیشن هستند که مسئول اعتبارسنجی تراکنش‌هاست.

انتشار بدافزار «ادعیه ماه رمضان» برای استخراج ارز دیجیتال

خرداد ۷, ۱۳۹۷/در badafzar list, badware, maher, امنیت, فناوری اطلاعات /توسط ادمین

مرکز ماهر از انتشار بدافزار جدیدی با نام «ادعیه ماه رمضان» خبر داده است که نسبت به استخراج ارز دیجیتال از موبایل کاربر اقدام می کند.

مرکز ماهر از انتشار بدافزار استخراج‌کننده ارز دیجیتال تحت عنوان «ادعیه ماه رمضان» خبر داد.

این مرکز اعلام کرد: متاسفانه تعداد بدافزارهایی که اقدام به استخراج ارز دیجیتال از دستگاه کاربران می‌کنند در حال افزایش است. در بدافزار جدیدی که با نام ادعیه ماه رمضان منتشر شده است کاربر هیچ رفتار مشکوکی از برنامه نمی‌بیند و امکان حذف برنامه توسط کاربر بسیار اندک است.

مرکز ماهر با بیان اینکه اقدامات لازم جهت مسدود کردن دامنه‌های مربوطه در حال انجام است از کاربران خواست از سایت های معتبر نرم افزارهای خود را انتخاب کنند.

هشدار مرکز افتای ریاست جمهوری: گسترش کاوشگر ارز دیجیتالی/ لزوم به‌روزرسانی سیستم های ویندوزی

اردیبهشت ۱۶, ۱۳۹۷/در AFTA, arze digital, badware, windows, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری نسبت به گسترش بدافزار «کاوشگر ارز دیجیتالی» هشدار داد.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، اخیراً یک کاوشگر ارز دیجیتالی نوشته شده به زبان پایتون و با نام PyRoMine، در حال گسترش در سیستم‌های ویندوزی است. این کاوشگر که ارز Monero را استخراج می‌کند، مشابه سایر کاوشگرها عمل می‌کند.

این بدافزار از یکی از کدهای اکسپلویت NSA (آژانس امنیت ملی امریکا) به نام EternalRomance برای انتشار خود استفاده می‌کند.

این کد اکسپلویت مربوط به یکی از ابزارهای نفوذ گروه هک ShadowBrokers است که در ماه آوریل سال گذشته در اختیار عموم قرار گرفت. این کد پس از انتشار عمومی، سال گذشته در حمله باج‌افزار BadRabbit مورد استفاده قرار گرفت. از سوی دیگر در اوایل سال جاری، EternalRomance و دو اکسپلویت دیگر (EternalSynergy و EternalChampion) در چارچوب Metasploit قرار گرفتند. بنابراین این اکسپلویت‌ها می‌توانند تمامی نسخه‌های ویندوز شامل ویندوز ۲۰۰۰ به بعد را هدف قرار دهند.

بدافزار PyRoMine از طریق یک فایل Zip منتشر می‌شود که حاوی یک فایل اجرایی است. این کاوشگر از نسخه ویرایش شده EternalRomance استفاده می‌کند. زمانی که PyRoMine اجرا شود، آدرس‌های IP محلی را استخراج کرده و آلودگی خود را به سایر زیرشبکه‌ها گسترش دهد.

نحوه عملکرد این بدافزار به این صورت است که پس از نفوذ این بدافزار به سیستم، یک اسکریپت VB در سیستم دانلود می‌شود که عملیات کاوش ارز را انجام می‌دهد. این اسکریپت یک حساب کاربری مدیریتی در سیستم ایجاد می‌کند تا از طریق آن پروتکل Remote Desktop را فعال کند و یک قانون فایروال برای باز کردن ترافیک پورت ۳۳۸۹ ایجاد کند. همچنین این اسکریپت سرویس به روزرسانی ویندوز را غیرفعال کرده و با اعمال سایر تنظیمات در سرویس مدیریت از راه دور ویندوز، سیستم را برای حملات آتی آماده می‌کند.

PyRoMine اولین کاوشگر ارزی نیست که از اکسپلویت‌های NSA برای گسترش استفاده می‌کند، امّا این بدافزار سیستم را به گونه‌ای پیکربندی می‌کند تا در معرض حملات بیشتر و پیچیده‌تری قرار گیرد.

اکسپلویت‌های NSA قبلاً توسط NotPetya، WannaCry، Adylkuzz و Retefe بکار رفته‌اند ولی استفاده از این اکسپلویت‌ها توسط بدافزارهایی نظیر Smominru، WannaMine و PyRoMine نشان می‌دهد که استفاده از این اکسپلویت‌ها توسط کاوشگران ارز نیز مورد توجه قرار گرفته است.

برای جلوگیری از آلودگی احتمالی، پیشنهاد می‌شود تا هر چه سریعتر سیستم‌های ویندوزی خود را بروزرسانی کنید.

‫ هشدار ماهر در خصوص شیوع باج افزار SAMSAM

اردیبهشت ۱۴, ۱۳۹۷/در badware, maher, امنیت, فناوری اطلاعات /توسط ادمین

مشاهده و رصد فضای سایبری در روزهای اخیر از افزایش فعالیت #‫باج_افزار #‫SamSam خبر می‌دهد. هر چند شروع فعالیت این باج افزار در ماه های فوریه، مارس و آوریل ۲۰۱۶ گزارش گردیده است، اما فعالیت جدید این باج افزار در ماه های اخیر مجدداً از سر گرفته شده است.

بررسی ها نشان می دهد باج افزار SamSam بر خلاف سایر باج افزارها، اهداف خود را با دقت انتخاب می‌کند. مشاهدات حاکی از آن است که این باج افزار عموماً مراکز بهداشتی، مدارس و بیمارستان ها را مورد هدف قرار می دهد. این نکته را باید در نظر گرفت که SamSam از طریق آسیب پذیری های شناخته شده در سیستم عامل و یا حمله Brute force و شکستن کلمات عبور ضعیف در سرویس ریموت دسکتاپ (RDP)، اقدام به حمله می کند و دلیل موفقیت آن نیز همین نکته می باشد.

نکته قابل توجه این که باج افزارها، پس از نفوذ موفقیت‌آمیز به سیستم قربانی، به سرعت از طریق درایو های به اشتراک گذاشته شده در شبکه که در سیستم‌ها map شده‌اند باعث رمزگذاری اطلاعات سایر سیستم‌های موجود در شبکه نیز می‌شوند. لذا به مدیران و راهبران شبکه توصیه اکید می‌گردد که پس از بروزرسانی سیستم‌عامل و نصب آخرین وصله های امنیتی، نسبت به امن سازی سرویس های موجود در شبکه خصوصاً RDP اقدام نموده و حتماً از پشتیبان گیری منظم داده ها اطمینان حاصل نمایند.

مواظب “میرای” باشید

فروردین ۲۸, ۱۳۹۷/در badware, IOT, mirai, امنیت, فناوری اطلاعات /توسط ادمین

بدافزار میرای (Mirai) به تلویزیون‌ها، دوربین‌های مدار بسته، روترهای خانگی و DVRها نفوذ می‌کند و به بدافزار" اینترنت اشیاء" معروف است.

سایت Recorded Future اعلام کرده که این نمونه کشف شده بدافزار (Mirai) که با بات نت Reaper مرتبط است، در اواخر ژانویه ۲۰۱۸ به برخی از سازمان‌های مالی حمله کرده و بیش از ۱۳ هزار دستگاه IoT را به مخاطره انداخته و موجب رخ دادن حمله DDoS در سازمان‌های مالی شده است.

محصولات آسیب‌پذیری که مورد حمله بات نت Mirai قرار گرفته‌اند عبارتند از: AVTECH، Dahua Technology Co، GoAhead، Linksys، MikroTik، Samsung، Synology، TP-Link و Ubiquity.

اما کارشناسان امنیتی به کاربران دستگاه‌های IoT پیشنهاد می‌کنند که برای کاهش خطرات مرتبط با این بدافزار، این توصیه‌ها را در نظر بگیرند:

1- کلمات عبور پیش فرض تنظیم شده برای دستگاه را تغییر دهید.

2- Firmware دستگاه های خود را به‌روزرسانی کنید.

3- برای دوربین‌های IP و سیستم‌های مشابه آن که نیاز به دسترسی از راه دور دارند، VPN تهیه کنید.

4- سرویس‌های غیرضروری (همانند Telnet و ...) را غیرفعال کنید و پورت‌هایی را که دستگاه IoT به آن نیاز ندارد، ببندید.

بر اساس اطلاعات سایت مرکز مدیریت راهبردی افتا در حمله نمونه‌ای از بدافزار میرای به اینترنت اشیاء در سال 95، بسیاری از این ابزارها از پسوردهای ساده یا حتی پسوردهای انتخاب‌شده کارخانه استفاده می‌کرده‌اند.

گفته می‌شود در این حمله، حدود ۱۰۰ هزار تلاش برای ورود به دستگاه‌های آسیب‌پذیر از یک تعداد 1800 آی پی مختلف در ۱۲ روز صورت گرفت. ۶۴ درصد این IPها به چین، 13 درصد به کلمبیا، 6 درصد به کره جنوبی و همچنین 6 درصد به ویتنام تعلق داشته است.

محققان شرکت امنیت سایبری Dr.web بهمن ماه 1396 موفق به کشف نوعی تروجان ویندوزی شدند که تنها باهدف کمک به هکرها در انتشار بدافزار Mirai طراحی شده است.

باج‌افزار جدیدی که کاربر را مجبور می‌کند تا گیم PUBG را اجرا کند

فروردین ۲۲, ۱۳۹۷/در badware, hack, PUBG, security, امنیت, فناوری اطلاعات /توسط ادمین

نوع جدیدی از یک باج افزار قربانی را مجبور می‌کند تا گیم PUBG را بازی کند.

پس از آلوده شدن سیستم کاربر به باج‌افزار جدید، تمامی فایل‌ها قفل شده و این بار به جای اینکه از کاربر تقاضای پول در ازای بازشدن قفل کند، از کاربر می‌خواهد تا گیم PUBG را بازی کند تا قفل فایل‌ها باز شود.

این متد برای مجبورکردن کاربر تعریف شده است که نمونه آن سال گذشته به نام RensenWare برای اجرای بازی TH12 درفضای مجازی منتشر شد.

«لورنس آبراهام» کارشناس امنیتی می‌گویند توسعه دهندگان باج افزار در مراحل اولیه توسعه محصول خود هستند و به همین دلیل کاربر می تواند با انجام سه دقیقه بازی (به جای یک ساعتِ توصیه شده)، قفل فایل‌های خود را بگشاید. از طرف دیگر فقط فایل‌های روی دسکتاپ قفل شده و دسترسی به کد باج افزار نیز آسان است و بدین ترتیب نشان می‌دهد توسعه دهندگان حرفه‌ای نیستند.